Вирусы и антивирусы
Содержание
Введение
. Классификация
вирусов
. Источники вирусов
. Разновидности
антивирусных программ
Заключение
Введение
Первые исследования саморазмножающихся
искусственных конструкций проводились в середине нынешнего столетия. В работах
фон Неймана, Винера и других авторов дано определение и проведен математический
анализ конечных автоматов, в том числе и самовоспроизводящихся. Термин
"компьютерный вирус" появился позднее - официально считается, что его
впервые употребил сотрудник Лехайского университета (США) Ф.Коэн в 1984 г. на
7-й конференции по безопасности информации, проходившей в США. С тех пор прошло
немало времени, острота проблемы вирусов многократно возросла, однако строгого
определения, что же такое компьютерный вирус, так и не дано, несмотря на то,
что попытки дать такое определение предпринимались неоднократно.
Основная трудность, возникающая при попытках
дать строгое определение вируса, заключается в том, что практически все
отличительные черты вируса (внедрение в другие объекты, скрытность,
потенциальная опасность и прочее) либо присущи другим программам, которые
никоим образом вирусами не являются, либо существуют вирусы, которые не
содержат указанных выше отличительных черт (за исключением возможности
распространения).
Основная особенность компьютерных вирусов -
возможность их самопроизвольного внедрения в различные объекты операционной
системы - присуща многим программам, которые не являются вирусами (любая
программа, имеющая инсталлятор, способна к саморазмножению).
Таким образом, первой из причин, не
позволяющих дать точное определение вирусу, является невозможность однозначно
выделить отличительные признаки, которые соответствовали бы только вирусам.
Поэтому представляется возможным сформулировать только обязательное условие для
того, чтобы некоторая последовательность выполняемого кода являлась вирусом.
(<#"533334.files/image001.gif">
Рис. 1. Схема работы эмулятора
процессора
Принцип эмуляции процессора
демонстрируется на рис. 1. Если обычно условная цепочка состоит из трех
основных элементов: ЦПУ®ОС®Программа, то при эмуляции процессора в такую
цепочку добавляется эмулятор. Эмулятор как бы воспроизводит работу программы в
некотором виртуальном пространстве и реконструирует ее оригинальное содержимое.
Эмулятор всегда способен прервать выполнение программы, контролирует ее
действия, не давая ничего испортить, и вызывает антивирусное сканирующее ядро.
Второй механизм, появившийся в
середине 90-х годов и использующийся всеми антивирусами, - это эвристический
анализ. Дело в том, что аппарат эмуляции процессора, который позволяет получить
выжимку действий, совершаемых анализируемой программой, не всегда дает
возможность осуществлять поиск по этим действиям, но позволяет произвести
некоторый анализ и выдвинуть гипотезу типа "вирус или не вирус?".
В данном случае принятие решения
основывается на статистических подходах. А соответствующая программа называется
эвристическим анализатором.
Для того чтобы размножаться, вирус
должен совершать какие-либо конкретные действия: копирование в память, запись в
сектора и т.д. Эвристический анализатор (он является частью антивирусного ядра)
содержит список таких действий, просматривает выполняемый код программы,
определяет, что она делает, и на основе этого принимает решение, является
данная программа вирусом или нет.
При этом процент пропуска вируса,
даже неизвестного антивирусной программе, очень мал. Данная технология сейчас
широко используется во всех антивирусных программах.
Классификация антивирусных программ
Классифицируются антивирусные
программы на чистые антивирусы и антивирусы двойного назначения (рис. 2).
Чистые антивирусы отличаются
наличием антивирусного ядра, которое выполняет функцию сканирования по
образцам. Принципиальным в этом случае является то, что возможно лечение, если
известен вирус. Чистые антивирусы, в свою очередь, по типу доступа к файлам
подразделяются на две категории: осуществляющие контроль по доступу (on access)
или по требованию пользователя (on demand). Обычно on access-продукты называют
мониторами, а on demand-продукты - сканерами.
Оn demand-продукт работает по
следующей схеме: пользователь хочет что-либо проверить и выдает запрос
(demand), после чего осуществляется проверка. On access-продукт - это
резидентная программа, которая отслеживает доступ и в момент доступа
осуществляет проверку.
Кроме того, антивирусные программы,
так же как и вирусы, можно разделить в зависимости от платформы, внутри которой
данный антивирус работает. В этом смысле наряду с Windows или Linux к
платформам могут быть отнесены Microsoft Exchange Server, Microsoft Office,
Lotus Notes.
Программы двойного назначения - это
программы, используемые как в антивирусах, так и в ПО, которое антивирусом не
является. Например, CRC-checker - ревизор изменений на основе контрольных сумм
- может использоваться не только для ловли вирусов. Разновидностью программ
двойного назначения являются поведенческие блокираторы, которые анализируют
поведение других программ и при обнаружении подозрительных действий блокируют
их. От классического антивируса с антивирусным ядром, распознающего и лечащего
от вирусов, которые анализировались в лаборатории и которым был прописан
алгоритм лечения, поведенческие блокираторы отличаются тем, что лечить от
вирусов они не умеют, поскольку ничего о них не знают. Данное свойство блокираторов
позволяет им работать с любыми вирусами, в том числе и с неизвестными. Это
сегодня приобретает особую актуальность, поскольку распространители вирусов и
антивирусов используют одни и те же каналы передачи данных, то есть Интернет.
При этом антивирусной компании всегда нужно время на то, чтобы получить сам
вирус, проанализировать его и написать соответствующие лечебные модули.
Программы из группы двойного назначения как раз и позволяют блокировать
распространение вируса до того момента, пока компания не напишет лечебный
модуль.
Обзор наиболее популярных
персональных антивирусов
В обзор вошли наиболее популярные
антивирусы для персонального использования от пяти известных разработчиков.
Следует отметить, что некоторые из рассмотренных ниже компаний предлагают
несколько версий персональных программ, различающихся по функциональности и
соответственно по цене. В нашем обзоре мы рассмотрели по одному продукту от
каждой компании, выбрав наиболее функциональную версию, которая, как правило,
носит название Personal Pro. Другие варианты персональных антивирусов можно
найти на соответствующих сайтах.
Антивирус КасперскогоPro v. 4.0
Разработчик: "Лаборатория
Касперского". Web-сайт: #"533334.files/image003.gif">
Рис. 3. Антивирус Касперского
Personal Pro
Поведенческий блокиратор модуль
Office Guard держит под контролем выполнение макросов, пресекая все
подозрительные действия. Наличие модуля Office Guard дает стопроцентную защиту
от макровирусов.
Ревизор Inspector отслеживает все
изменения в вашем компьютере и при обнаружении несанкционированных изменений в
файлах или в системном реестре позволяет восстановить содержимое диска и
удалить вредоносные коды. Inspector не требует обновлений антивирусной базы:
контроль целостности осуществляется на основе снятия оригинальных отпечатков
файлов (CRC-сумм) и их последующего сравнения с измененными файлами. В отличие
от других ревизоров, Inspector поддерживает все наиболее популярные форматы
исполняемых файлов.
Эвристический анализатор дает
возможность защитить компьютер даже от неизвестных вирусов.
Фоновый перехватчик вирусов Monitor,
постоянно присутствующий в памяти компьютера, проводит антивирусную проверку
всех файлов непосредственно в момент их запуска, создания или копирования, что
позволяет контролировать все файловые операции и предотвращать заражение даже
самыми технологически совершенными вирусами.
Антивирусная фильтрация электронной
почты предотвращает возможность проникновения вирусов на компьютер.
Встраиваемый модуль Mail Checker не только удаляет вирусы из тела письма, но и
полностью восстанавливает оригинальное содержимое электронных писем.
Комплексная проверка почтовой корреспонденции не позволяет вирусу укрыться ни в
одном из элементов электронного письма за счет проверки всех участков входящих
и исходящих сообщений, включая прикрепленные файлы (в том числе архивированные
и упакованные) и другие сообщения любого уровня вложенности.
Антивирусный сканер Scanner дает
возможность проводить полномасштабную проверку всего содержимого локальных и
сетевых дисков по требованию.
Перехватчик скрипт-вирусов Script
Checker обеспечивает антивирусную проверку всех запускаемых скриптов до того,
как они будут выполнены.
Поддержка архивированных и
компрессированных файлов обеспечивает возможность удаления вредоносного кода из
зараженного компрессированного файла.
Изоляция инфицированных объектов
обеспечивает изоляцию зараженных и подозрительных объектов с последующим их
перемещением в специально организованную директорию для дальнейшего анализа и
восстановления.
Автоматизация антивирусной защиты
позволяет создавать расписание и порядок работы компонентов программы;
автоматически загружать и подключать новые обновления антивирусной базы через
Интернет; рассылать предупреждения об обнаруженных вирусных атаках по
электронной почте и т.д.
Doctor Web для
Windows 95-XP
Рис. 4. Doctor
Web для
Windows 95-XP
Программа построена по модульному
принципу, то есть разделена на оболочку, ориентированную на работу в конкретной
среде, и ядро, не зависимое от среды. Подобная организация позволяет
использовать одни и те же файлы вирусной базы Dr.Web для разных платформ,
подключать ядро к различным оболочкам и приложениям, реализовывать механизм
автоматического пополнения вирусных баз и обновления версий оболочки и ядра
через сеть Интернет.
Программа предлагает наглядные
средства выбора объектов тестирования путем просмотра дерева подкаталогов.
Обновление антивирусной базы производится автоматически через Интернет.
Сторож SpIDer осуществляет анализ
всех опасных действий работающих программ и блокирует вирусную активность
практически всех известных и еще неизвестных вирусов. Благодаря технологии
SpIDer-Netting программа сводит к нулю процент ложных срабатываний и пресекает
все виды вирусной активности. Данная технология позволяет не допустить
заражения компьютера вирусом, даже если этот вирус не сможет быть определен
сканером Doctor Web с включенным эвристическим анализатором. В отличие от ряда
других существующих резидентных сторожей, реагирующих на каждое проявление
вирусоподобной активности и тем самым быстро утомляющих пользователя своей
назойливой подозрительностью, SpIDer проводит эвристический анализ по
совокупности вирусоподобных действий, что позволяет избежать большинства
случаев ложных реакций на вирус.
Ознакомительную версию программы
Dr.Web32 можно получить по адресу #"533334.files/image005.gif">
Рис. 5. Norton
AntiVirus 2003 Professional Edition
Norton AntiVirus 2003
сканирует входящие вложения сообщений Instant Message. Сканер сообщений
Instant Messaging scanning поддерживает Yahoo!
Instant Messenger, AOL Instant Messenger, MSN Messenger и
Windows Messenger. Norton
Antivirus обеспечивает надежную защиту входящей и исходящей почты, не требуя от
пользователя дополнительных действий.
Эксклюзивная эвристическая модель
блокировки червей (Heuristics-based Worm Blocking technology) дает программе возможность
детектировать почтовых червей, не допуская их попадания в рассылку. В
дополнение к функциям автоматического удаления вирусов Norton AntiVirus 2003
позволяет также удалять троянских коней и червей в фоновом режиме, не прерывая
работы.
Единственным недостатком данного
продукта является его достаточно высокая цена.
McAfee
VirusScan Professional 6.0
Разработчик: McAfee
Associates. Web-сайт:
#"533334.files/image006.gif">
Рис.6. McAfee VirusScan Professional 6.0
автоматическое обновление антивирусных баз через
Интернет;
сканирование при синхронизации с карманными
компьютерами (PDA);
модуль для Palm OS для обеспечения полной защиты
карманного компьютера;- безопасное удаление конфиденциальной информации с
дисков ПК;Lite - удаление ненужных файлов и программ с диска, очистка реестра
Windows;
гибкие возможности настройки расписания
сканирования;
передача подозрительных файлов в AVERT для
получения оперативной помощи при обнаружении неизвестных вирусов;
возможность помещения зараженных файлов в
карантин для обеспечения их полной изоляции;
бесплатная техническая поддержка по электронной
почте или в режиме реального времени (Chat);
новый, значительно усовершенствованный и легко
настраиваемый интерфейс делает защиту компьютера более простой и очевидной.
Разработчик:
Panda Software. Web-сайт:
#"533334.files/image007.gif">
Рис. 7. Panda Antivirus Titanium
Одна из основных задач, которая ставилась перед
разработчиками Panda Antivirus Titanium, заключалась в создании продукта для
домашних пользователей, обладающего максимально дружественным интерфейсом,
основанном на принципе "включил и забыл".Antivirus Titanium
производит обновления в фоновом режиме без запроса к пользователю. Каждый раз,
когда вы подключаетесь к Интернету, программа автоматически производит
обновление антивирусных баз данных.
Новый высокоскоростной антивирусный
"движок" - new UltraFast virus scan engine - один из наиболее быстрых
и экономичных на рынке.
Программа дает возможность избежать неприятных
сюрпризов при работе с почтой или при скачивании Интернет-файлов. Технология
Panda Antivirus Titanium позволяет обнаружить и удалить вирус в почтовом
послании до того, как вы его откроете, так что вирус не сможет проникнуть на
ваш компьютер. Panda Antivirus Titanium работает с большинством наиболее
распространенных почтовых клиентов, доступных сегодня на рынке: Microsoft Outlook,
Outlook Express, Eudora, Pegasus, MSN Mail, Netscape Mail.
Многие современные вирусы не только инфицируют
файлы, но и изменяют параметры операционной системы. Panda Antivirus Titanium
обладает собственной технологией SmartClean technology, позволяющей исправлять
даже серьезные повреждения, нанесенные вирусом, в сложных случаях.
Наличие клиентов из 40 стран позволяет
оперативно обновлять антивирусные базы на основе вирусов, появляющихся в разных
концах света.
В работе указаны наиболее популярные решения, однако
число антивирусных программ этим не ограничивается, в таблице перечислены
антивирусные программы, которые, наряду с рассмотренными, входят в десятку
наиболее популярных в мире антивирусных программ.
Таблица. Популярные антивирусные программы, не
вошедшие в обзор
|
Название
антивируса
|
Цена,
долл.
|
|
EZ
Antivirus
|
20
|
|
F-Secure Anti-Virus Personal
Edition
|
80
|
|
NOD32
|
39
|
|
Norman Virus Control 5.0
|
60
|
|
PC-cillin 2002
|
|
Vexira
Antivirus Personal 2.0
|
50
|
Заключение
Проделав данную работу, мы узнали, как и где
именно возможно получить компьютерный вирус, вывели классификацию, определяющую
разновидности вирусов и их степень угрозы.
Также были приведены меры осторожности
пользования персональным компьютером, при применении которых возможность
"заразить" свой компьютер будут малы.
Привели примеры антивирусных программ,
проанализировали их алгоритм работы и обнаружили те программы, которые
пользуются наибольшей популярностью пользователей.
Можно сказать с уверенностью, что все
поставленные задачи и цели данной работы были выполнены.